ноябрь    2025

Пн	Вт	Ср	Чт	Пт	Сб	Вс
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30

показать все 

13.11.2025

Приглашаем на «Цифровую разморозку»!

Читать далее 

13.11.2025

Группа «Борлас» (ГК Softline) открыла практику цифровизации процессов капитального строительства

Читать далее 

31.10.2025

Почти 70% компаний не используют системы защиты от утечек данных

Читать далее 

30.10.2025

Айсорс запустил Центр промышленной автоматизации

Читать далее 

30.10.2025

Каждая вторая компания в мире внедряет системы управления процессами — рынок вырос вдвое за год

Читать далее 

показать все 

31.10.2025

Поддержка 1С - "черная дыра" IT- бюджета: как превратить хаос в управляемый процесс и оптимизировать затраты

Читать далее 

18.10.2025

Как посчитать реальную выгоду от ИИ в видеонаблюдении?

Читать далее 

18.10.2025

Управление расходами: режем косты с помощью ИИ

Читать далее 

17.10.2025

Безопасность как сервис (SECaaS)

Читать далее 

16.10.2025

До 97% выросло количество людей, которые реагируют на утечку своих персональных данных

Читать далее 

29.07.2025

Точность до метра и сантиметра: как применяют технологии позиционирования

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

22.09.2023

Эпоха российской ориентации на Запад в сфере программного обеспечения завершилась

Читать далее 

22.09.2023

Сладкая жизнь

Читать далее 

22.09.2023

12 бизнес-концепций, которыми должны овладеть ИТ-руководители

Читать далее 

показать все 

Главная / Архив номеров / 2025 / Выпуск №5 (148) / Не усложняйте без необходимости

Рубрика: Безопасность

Не усложняйте без необходимости

Эксперт по разработке BI-решений Филипп Папаянов рассказал, почему главной уязвимостью цифровых платформ остаются люди, как простая архитектура помогает обеспечивать надежность, и зачем проектировать систему с прицелом на масштабирование.

Утечки баз данных стали одной из главных киберугроз для российского бизнеса. По данным компании F.A.C.C.T. (бывшая Group-IB), в 2024 году в публичном доступе появилось более 250 ранее не опубликованных баз данных российских компаний, содержащих персональную информацию пользователей.

Особую ценность для злоумышленников представляют аналитические системы и BI-решения, которые аккумулируют в себе не только чувствительные персональные данные, но и внутренние финансовые, операционные и стратегические сведения компаний.

Ошибка или компрометация в таких системах может привести не только к утечке информации, но и к искажению бизнес-прогнозов и принятию неверных управленческих решений, предупреждает Филипп Папаянов – архитектор и разработчик аналитической системы маркетинга (АСМ), которая объединяет OLTP, финансовое моделирование и BI-инструменты, автор научных работ. Система более девяти лет ежедневно используется в управлении крупнейшими торговыми центрами России, охватывая весь цикл работы с арендаторами – от стратегического планирования до прогнозирования товарооборота, и успешно прошла аудит ДРТ (наследника Deloitte).

– Филипп, какие угрозы для безопасности масштабных бизнес-аналитических систем сегодня вы считаете наиболее актуальными?

– В аналитических системах, особенно тех, которые используются только внутри корпоративной сети, актуальны те же риски, что и у любой другой информационной системы. И, соответственно, меры защиты здесь применяются схожие. Но если говорить о наиболее уязвимых точках, то на практике слабым местом чаще всего оказываются не технологии, а люди – в частности, администраторы BI-систем.

Это специалисты, которые имеют доступ ко всем слоям данных и могут стать приоритетной целью для атак. Особенно если злоумышленники используют методы социальной инженерии – обман, психологическое давление или фишинг. В этом случае можно обойти любые технические ограничения, просто получив нужную информацию от человека.

– Какие принципы защиты информации и отказоустойчивости вы закладывали в АСМ изначально и пришлось ли что-то усиливать со временем?

– Честно говоря, за девять лет всё-таки один сбой был – это случилось по вине провайдера серверных мощностей, когда у них произошёл сбой системы распределения памяти. Но с точки зрения самой системы, да – ни одного инцидента.

При разработке я придерживался принципа бритвы Оккама: не усложнять без необходимости. Несмотря на то, что в системе довольно сложная математика и бизнес-логика, архитектура у неё максимально лаконичная – классическое двухзвенное приложение. Сервер базы данных сам по себе предоставляет достаточно инструментов для защиты информации, и необходимости придумывать что-то дополнительное просто не было.

Что касается отказоустойчивости, то с самого начала было принято правило: все обращения к серверу – исключительно через хранимые процедуры. Это базовый подход, но именно он обеспечивает стабильность и контролируемость работы на уровне данных. И, как показывает практика, отлично себя оправдывает.

– Вашей АСМ ежедневно пользуются сотни сотрудников. Могут ли какие-то их ошибочные действия привести к уязвимостям системы?

– С точки зрения информационной безопасности – нет, уязвимостей из-за действий сотрудников быть не должно. Мы изначально заложили архитектуру так, чтобы пользователи не могли повлиять на систему в обход предусмотренных механизмов. А вот с бизнес-рисками, конечно, всё сложнее. Человеческий фактор никто не отменял – сотрудник может внести некорректные данные, которые в итоге повлияют на прогнозы и управленческие решения. Чтобы минимизировать такие ситуации, в системе реализованы механизмы верификации и согласования данных. Но это уже вопрос не к ИТ, а к процессам внутри компании.

– Оной из главных угроз остаётся социальная инженерия. Существуют ли, по вашему мнению, специальные методики обучения сотрудников, которые помогают минимизировать такие риски и предотвращать ошибки, угрожающие безопасности данных?

– Каких-то особых, универсальных методик тут нет. Очень важно не замалчивать тему – нужно постоянно проговаривать риски, приводить примеры, объяснять, как именно работает социальная инженерия.

Хорошо работают так называемые «учебные атаки» – когда сотрудникам специально рассылаются фишинговые письма или поддельные ссылки, чтобы проверить, кто правильно среагировал, а кто – нет, и почему.

Например, можно время от времени рассылать фальшивые фишинговые письма от имени «службы безопасности» или «руководства» и смотреть, кто откроет письмо, перейдёт по ссылке, введёт логин/пароль или скачает файл.

После таких тренировок можно объяснить, на что обратить внимание: какие сигналы должны насторожить и что делать категорически нельзя. Это помогает выработать устойчивые безопасные привычки у сотрудников, и со временем уровень уязвимости от социальной инженерии заметно снижается

– Вы делитесь экспертизой в профессиональных изданиях и выступаете как автор научных статей. Какой главный совет по построению надежных и безопасных аналитических систем вы бы дали командам, которые только начинают этот путь?

– Часто на старте бывает так: нужно срочно что-то «написать», «собрать», «поставить», чтобы закрыть текущую задачу. Кажется, что это временное решение, что пользоваться системой будет максимум пара человек, и можно не «заморачиваться» с архитектурой, безопасностью, масштабируемостью. Но проходит время – и эта система незаметно становится критически важной для бизнеса. В ней начинают работать десятки, а потом и сотни людей, она влияет на управленческие решения, финансовые показатели, и тут начинаются проблемы.

Во-первых, система становится «узким местом» – она уже не справляется с нагрузкой. А во-вторых, переделывать всё на ходу – сложно, дорого и часто рискованно: особенно если от её работы зависит, например, прибыль компании.

Поэтому мой главный совет: с самого начала думайте о системе так, как будто она уже критически важна. Это не избыточная осторожность – это здравый подход, который потом сэкономит и ресурсы, и нервы.

Ключевые слова: безопасность аналитической системы, архитектура, социальная инженерия, защита от рисков.

Подпишитесь на журнал

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи